package cn.wolfcode.rbac.interceptor;

import cn.wolfcode.rbac.anno.RequiredPermission;
import cn.wolfcode.rbac.domain.Employee;
import cn.wolfcode.rbac.service.IPermissionService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

@Component
public class PermissionInterceptor implements HandlerInterceptor {

    @Autowired
    private IPermissionService permissionService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取访问员工
        Employee employee = (Employee)request.getSession().getAttribute("EMPLOYEE_IN_SESSION");
        // Employee employee1 = UserContext.getEmployee();

        System.out.println("employee = " + employee.toString());

        //1> 是否是管理员
        if (employee.getAdmin()!=null) {
            return true;
        }

        // 不是管理员
        // handler 表示访问哪个处理方法

        //2> 访问的方法有没有贴注解
        HandlerMethod handlerMethod = (HandlerMethod)handler;
        RequiredPermission annotation = handlerMethod.getMethodAnnotation(RequiredPermission.class);
        if (annotation==null) { // 要访问的方法没有贴注解，可以正常访问的方法
            return true;
        }


        //3> 既不是管理员，访问的方法又贴自定义注解
        // 去数据库查询访问员工所拥有权限，跟处理方法的自定义注解的权限表达式对比
        String expression = annotation.expression();

        List<String> expressions = permissionService.queryExpressionsByEmployeeId(employee.getId());
        if (expressions.contains(expression)) { // 访问的员工，有此处理方法的访问权限
            return true;
        }

        // 既不是管理员，访问处理方法贴注解，而且员工也没有权限
        // 返回友好提示界面
        response.sendRedirect("/permission/noPermission");
        return false;
    }
}
